Das Ende des Safe-Harbor-Abkommens: Was ist nun zu tun?

Bei dem Safe-Harbor-Abkommen handelt es sich um eine Entscheidung der Europäischen Kommission auf dem Gebiet des Datenschutzrechts aus dem Jahr 2000, durch die die Übertragung personenbezogener Daten deutlich vereinfacht wurde. Die Bezeichnung als „Abkommen“ rührt daher, dass diese Entscheidung seinerzeit mit den USA abgesprochen worden war.

In der vorgenannten Rechtssache ging es ursprünglich um eine Auseinandersetzung zwischen einem Österreicher und der irischen Datenschutzbehörde mit Bezug auf Facebook: Wie bei allen anderen in der EU wohnhaften Nutzern von Facebook werden Daten von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server, die sich in den USA befinden, übermittelt und dort verarbeitet. Der Kläger war der Ansicht, dass das Recht und die Praxis der USA keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor Überwachungstätigkeiten der dortigen Behörden böten.

Wie sollten Unternehmen nun reagieren?
Das Urteil könnte weitreichende Folgen auch für deutsche Unternehmen haben. So sollten nun z. B. Unternehmen aus der EU, die eine Holdinggesellschaft in den USA haben und dieser Gesellschaft personenbezogene Daten (z. B. zu Pensionsrückstellungen oder zu Gehältern) übermitteln wollen oder eine entsprechende Auftragsdatenverarbeitung in der USA planen, den „Datenexport“ grundsätzlich neu bewerten. Die pauschale Begründung, das betreffende datenempfangende Unternehmen orientiere sich an dem EU-Datenschutzniveau und habe dies durch eine entsprechende Listung beim US-Handelsministerium zum Ausdruck gebracht, wird jedenfalls nicht mehr ausreichend sein.

Alternativ besteht ggf. die Möglichkeit, sich auf gesetzliche Ausnahmetatbestände im Bundesdatenschutzgesetz, eine ausdrückliche Einwilligung der betroffenen Person, sog. EU-Standardvertragsklauseln oder auch sog. „Binding Corporate Rules“ zu berufen, um weiterhin Daten in die USA zu exportieren. Alle diese Instrumente haben jedoch ihre Besonderheiten und diese sollten vorab bedacht werden. So ist z.B. der Kreis der Ausnahmetatbestände eng gestrickt und an eine Einwilligung werden, so sie rechtsgültig sein soll, hohe Anforderungen gestellt.

Weiterführende Links:
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117de.pdf
https://safeharbor.export.gov/list.aspx